iOS

Hackear um iPhone desligado é possível? As vulnerabilidades nunca dormem

Um dispositivo pode ser hackeado quando desligado? Estudos recentes sugerem que sim. Vamos ver como isso é possível.

Enoch Root
14 jun 2022

Pesquisadores do Secure Mobile Networking Lab da Universidade de Darmstadt, na Alemanha, publicaram um artigo descrevendo um método teórico para hackear um iPhone – mesmo que o dispositivo esteja desligado. O estudo examinou o funcionamento dos módulos sem fio, encontrou formas de analisar o firmware do Bluetooth e, consequentemente, de introduzir malware capaz de funcionar de forma totalmente independente do iOS, o sistema operacional do dispositivo.

Com um pouco de imaginação, não é difícil conceber um cenário em que um invasor mantenha um telefone infectado próximo ao dispositivo da vítima e transfira um malware, que poderá roubar as informações do cartão de pagamento ou até mesmo a chave virtual do carro.

Mas, por enquanto, isso ainda está no campo da hipótese. Isso porque os autores do artigo não demonstraram o risco, parando a um passo de uma implementação prática do ataque em que algo realmente útil desagradável é carregado no smartphone. Mesmo assim, os pesquisadores fizeram muito ao analisar a funcionalidade não documentada do telefone, fazer engenharia reversa de seu firmware Bluetooth e modelar vários cenários para o uso de módulos sem fio.

Então, se o ataque não aconteceu, sobre o que é este post? Vamos explicar, não se preocupe, mas primeiro uma declaração importante: se um dispositivo está desligado, mas a interação com ele (hacking, por exemplo) ainda é possível, então…. ele não está completamente desligado!

Como chegamos ao ponto em que desligar algo não significa necessariamente que está realmente desligado? Vamos começar do início

O Modo de Baixa Energia da Apple

Em 2021, a Apple anunciou que o serviço Buscar Meu Dispositivo, usado para localizar um aparelho perdido, agora vai funcionar mesmo se o dispositivo estiver desligado. Esta melhoria está disponível em todos os smartphones da Apple desde o modelo iPhone 11.

Se, por exemplo, você perder seu telefone em algum lugar e sua bateria acabar depois de um tempo, ele não desliga completamente, mas muda para o Modo de Baixo Consumo, no qual apenas um conjunto muito limitado de módulos é mantido vivo. Estes são principalmente os módulos sem fio Bluetooth e Ultra WideBand (UWB), bem como NFC. Há também o chamado Secure Element – um chip seguro que armazena seus segredos mais preciosos, como detalhes do cartão de crédito para pagamentos por apromximação ou chaves do carro – o recurso mais recente disponível desde 2020 para um número limitado de veículos.

O Bluetooth no modo de baixo consumo é usado para transferência de dados, enquanto o UWB serve para determinar a localização do smartphone. No modo de baixo consumo, o smartphone envia informações sobre si mesmo, nas quais os iPhones de transeuntes podem captar. Se o proprietário de um telefone perdido fizer login em sua conta da Apple online e marcar o telefone como perdido, as informações dos smartphones ao redor serão usadas para determinar a localização do dispositivo. Para detalhes de como isso funciona, veja nosso post recente sobre perseguição de AirTag.

O anúncio rapidamente provocou uma discussão acalorada entre os especialistas em segurança da informação sobre os possíveis múltiplos riscos de segurança. O time de pesquisadores da Alemanha decidiu testar possíveis cenários de ataque na prática.

Ao desligar o telefone, o usuário agora vê a mensagem “iPhone permanece localizável após o desligamento”. Fonte

Buscar o dispositivo após desligamento

Em primeiro lugar, os pesquisadores realizaram uma análise detalhada do serviço Buscar Meu Dispositivo no modo de baixo consumo e descobriram algumas características anteriormente desconhecidas. Após o desligamento, a maior parte do trabalho é feita pelo módulo Bluetooth, que é recarregado e configurado por um conjunto de comandos do iOS. Em seguida, ele envia periodicamente pacotes de dados pelo ar, permitindo que outros dispositivos detectem o iPhone <em>quase desligados</em>.

Descobriu-se que a duração desse modo é limitada: na versão iOS 15.3, apenas 96 sessões de transmissão são definidas com um intervalo de 15 minutos. Ou seja, um iPhone perdido e desligado poderá ser encontrado por apenas 24 horas. Se o telefone for desligado devido a uma bateria fraca, a janela será ainda menor – cerca de cinco horas. Isso pode ser considerado uma peculiaridade do recurso, mas um bug real também foi encontrado: às vezes, quando o telefone está desligado, o modo “beacon” não é ativado, embora devesse ser.

O mais interessante aqui é que o módulo Bluetooth é reprogramado antes de ser desligado; ou seja, sua funcionalidade é fundamentalmente alterada. Mas e se ele puder ser reprogramado em detrimento do proprietário?

Ataque a um telefone desligado

Na verdade, a principal descoberta da equipe foi que o firmware do módulo Bluetooth não é criptografado e não é protegido pela tecnologia Secure Boot. A inicialização segura envolve a verificação em vários estágios do código do programa na inicialização, para que apenas o firmware autorizado pelo fabricante do dispositivo possa ser executado.

A falta de criptografia permite a análise do firmware e a busca de vulnerabilidades, que posteriormente podem ser utilizadas em ataques. Mas a ausência do Secure Boot permite que um invasor vá mais longe e substitua completamente o código do fabricante pelo seu próprio, que o módulo Bluetooth executa. Para comparação, a análise do firmware do módulo UWB do iPhone revelou que ele é protegido pelo Secure Boot, embora o firmware também não seja criptografado.

Claro, isso não é suficiente para um ataque sério e prático. Para isso, um invasor precisa analisar o firmware, tentar substituí-lo por algo de sua autoria e procurar maneiras de invadir. Os autores do artigo descrevem em detalhes o modelo teórico do ataque, mas não mostram praticamente que o iPhone pode ser hackeado através de Bluetooth, NFC ou UWB. O que fica claro a partir de suas descobertas é que, se esses módulos estiverem sempre ativados, as vulnerabilidades também sempre funcionarão.

A Apple não se impressionou com o estudo e se recusou a responder. Isso por si só, no entanto, diz pouco: a empresa tem o cuidado de manter uma imagem de indiferença mesmo nos casos em que a ameaça é grave e demonstrada na prática.

Lembre-se de que a Apple não mede esforços para manter seus segredos guardados a sete chaves: os pesquisadores precisam lidar com código de software fechado, muitas vezes criptografado, no próprio hardware da Apple, com módulos de terceiros feitos sob encomenda. Um smartphone é um sistema grande e complexo que é difícil de entender, especialmente se o fabricante atrapalha em vez de ajudar.

Ninguém descreveria as descobertas da equipe de segurança alemã como impressionantes, mas elas são o resultado de um trabalho muito meticuloso. O trabalho tem mérito por questionar a política de segurança de desligar o telefone, mas manter alguns módulos vivos. As dúvidas se mostraram justificadas.

Um dispositivo meio desligado

O artigo conclui que o firmware do Bluetooth não está suficientemente protegido. É teoricamente possível modificá-lo no iOS ou reprogramar o mesmo Modo de Baixo Consumo, expandindo ou alterando sua funcionalidade. O firmware UWB também pode ser examinado em busca de vulnerabilidades. O principal problema, no entanto, é que esses módulos sem fio (assim como o NFC) se comunicam diretamente com o enclave protegido que é o Secure Element. O que nos leva a algumas das conclusões mais empolgantes do artigo:

Teoricamente, é possível roubar uma chave de carro virtual de um iPhone – mesmo que o dispositivo esteja desligado! Claramente, se o iPhone for a chave do carro, perder o dispositivo pode significar perder o carro. No entanto, neste caso, o telefone real permanece em sua posse enquanto a chave é roubada. Imagine a seguinte situação: um intruso se aproxima de você no shopping, encosta o celular na sua bolsa e rouba sua chave virtual.

É teoricamente possível modificar os dados enviados pelo módulo Bluetooth, por exemplo, para usar um smartphone para espionar uma vítima — novamente, mesmo que o telefone esteja desligado.

Ter as informações do seu cartão de crédito roubadas é outra possibilidade teórica.

Mas tudo isso, é claro, ainda precisa ser comprovado. O trabalho da equipe da Alemanha mostra mais uma vez que adicionar novas funcionalidades traz certos riscos de segurança que devem ser levados em consideração. Especialmente quando a realidade é tão diferente da percepção: você acha que seu telefone está totalmente desligado, quando na verdade não está.

Vale ressaltar que este não é um problema completamente novo. O Intel Management Engine e a AMD Secure Technology, que também tratam da proteção do sistema e do gerenciamento remoto seguro, estão ativos sempre que a placa-mãe de um laptop ou computador desktop é conectada a uma fonte de alimentação. Como no caso do pacote Bluetooth/UWB/NFC/Secure Element em iPhones, esses sistemas possuem amplos direitos dentro do computador e vulnerabilidades neles podem ser muito perigosas.

Pelo lado positivo, o artigo não tem impacto imediato nos usuários comuns: os dados obtidos no estudo são insuficientes para um ataque prático. Como uma solução infalível, os autores sugerem que a Apple implemente um switch de hardware que mate completamente a energia do telefone. Mas, dada a fobia de botões físicos da Apple, você pode ter certeza de que isso não deve acontecer.

WinDealer: spyware com um mecanismo de entrega bem peculiar

Nossos especialistas estudaram o malware WinDealer, criado pelo grupo LuoYu APT.

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como diferenciar uma foto ou vídeo real de uma falsificação e rastrear sua procedência.

Como mudar para a Kaspersky: um guia de migração passo a passo

Como mudar a proteção cibernética de seu computador ou smartphone para a solução de segurança mais premiada da Kaspersky.

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Recebeu uma mensagem de seu chefe ou colega de trabalho pedindo para você “resolver um problema” de uma forma inesperada? Cuidado com golpistas! Como proteger a si mesmo e sua empresa contra um possível ataque?

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

Hackear um iPhone desligado é possível? As vulnerabilidades nunca dormem

O Modo de Baixa Energia da Apple

Buscar o dispositivo após desligamento

Ataque a um telefone desligado

Um dispositivo meio desligado

Operação Triangulação: uma palestra na 37C3

Uma ilusão de segurança perigosa: o iOS é realmente mais seguro que o Android?

WinDealer: spyware com um mecanismo de entrega bem peculiar

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Como proteger a segurança doméstica

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog